月光博客 » 编程开发 » USB Key的安全漏洞

USB Key的安全漏洞

  今天参加了飞天诚信举办的一个USB Key的身份认证技术与应用的会议,从中对飞天的USB Key以及其在银行界的应用有了一些了解,我以前也曾经专门分析过USB Key的安全性,这次会议使得我对USB Key有了更深入的了解。

USB KEY

  在这次学习探讨的过程中,我对USB Key也有了一些新的体会:

  1、只要数字证书和私钥存放在电脑介质中,或者可能被读入内存,那么都是不安全的。例如招商银行的硬盘版数字证书就是不安全的。因为其私钥和数字证书都有被木马程序盗用的可能。

  2、USB Key的安全性在于私钥不能被导出,加密解密运算用Key内的CPU完成,需要PIN码验证。

  3、一个最基本的认证系统应该包括:客户端(使用USB Key)、服务器端、数字认证中心(CA)三部分,如果不用CA的话,也可以客户端的Key申请认证,服务器产生随机数,进行冲击/响应认证。

  然而,USB Key目前来说并不是绝对安全的,当前广泛应用的USB Key实际存在两大安全漏洞:

  1、交互操作存在漏洞。黑客可以远程控制,冒用客户的USB Key进行身份认证,而客户无法知晓。

  这种漏洞的解决方式是在USB Key上增加一个确认键,用户按USB Key上的确认键后才能进行一次认证。

  2、无法防止数据被篡改。客户的一笔交易在送入USB Key加密前,可能会被黑客拦截屏篡改为另外一笔交易,这样可以在用户不知情的情况下篡改交易而认证通过。

  这种漏洞的解决也需要变更USB Key的硬件,在USB Key上增加一个显示屏,能够显示交易信息和数字。

  这实际和我以前想象的一样,我曾经想到过将USB Key动态密码锁合二为一,就能产生出一个更安全的USB Key,不过这样的话,成本就会翻一翻了,这也是鱼和熊掌不可兼得。

USB Key的安全漏洞

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    kaikaixinxin   说道:
    我前两天,开了建设银行的网上银行,下载证书,一切准备就绪,过了两天,我打算网上汇款,结果发现我的KEY没用了.查看证书管理说没有证书.我吐血,前两天还好的.我就格式化.也没有用,就不找不到那个KEY.我开了三天,明天去银行不知道可以换吗?花了65块不会用都没有用就报销了吧,
    支持(11反对(6回复
  1. 2
    胡戈戈   说道:
    除了月光自己,前面几个都是百度空间的
    USB......还是不了解很深啊
    支持(12反对(8回复
  1. 3
    gargoyle   说道:
    usb这些漏洞不是很严重,对个人电脑来说,木马才是最大的威胁。
    支持(10反对(6回复
  1. 4
    补充一句   说道:
    除非你专门安装一台机器进行网络交易,否则,谁都不敢说自己的机器没有木马什么的.如果不安全,网络交易带来的便利还不如他带来的损失大
    支持(8反对(4回复
  1. 5
    赛德电子服务部   说道:
    最安全的交易是拿你家种的大葱换他家种的土豆,注意两人同时伸出两手,喊声:“一,二,三,换!”
    支持(8反对(4回复
  1. 6
    怎么越看越可怕   说道:
    看了各位对这些东西的专业分析,俺是越看越糊涂了,网上交易这么不安全,赶快取消,免得祸害大家。俺最近看了淘宝网很多好东东,想买点,但是要支付宝,看看交易流程到是设计的不错,有一定的防范措施,比什么银行汇款风险要小,但是这个要开通网上银行,于是就在查找相关内容,于是找到了认证,又发现了什么U盾,觉得应该是很安全的了,哪里知道搜索到您这里把这个说的又是安全漏洞。又是被破解,这样的KEY仍然不安全,那么网上银行我宣布全部取消。这样我估计博主这里会比较安静。
    支持(11反对(8回复
  1. 7
    xxx   说道:
    我觉得有个既简单又有效的办法,用于网银的卡平时不要放钱进去,只有在网购时再转帐进去,前提是你要在一家银行办两张卡,因为这样转账方便省钱(当然如果你要用网银买基金什么的这样就不安全了)。

    再告诉 大家一条秘籍:不用网银最安全!!!
    支持(7反对(4回复
  1. 8
    安全是相对的   说道:
    安全总是相对的,具有时效性,没有哪种安全是永远安全的,并且安全与成本、易用性都相关联,目前对于信息安全的防范来讲,USBKey仍然是未来几年中最主流的有效安全手段方式。
    支持(8反对(6回复
  1. 9
    wdj   说道:
    自己电脑上的USBKey该没漏洞吧
    支持(5反对(3回复
  1. 10
    diudiu   说道:
    想把这篇保留在自己博客里,结果被吓一跳,不过我是不小心的,估计不是被发现了,是这里知识产权保护的太好了,吼吼
    支持(10反对(8回复

发表留言